Аналітичний інструментарій хакерів КНДР: CryptoQuant зафіксував візит із північнокорейського IP
Професійна спільнота отримала рідкісну можливість зазирнути в операційне середовище північнокорейських кібергруп. Платформа CryptoQuant зафіксувала візит користувача з IP-адресою, що належить КНДР. Дані були отримані через систему аналітики Amplitude, що дозволяє відновити деталі цього сеансу.
Згідно зі скріншотом із публікації, користувач перейшов на сторінку метрики Bitcoin: MVRV Ratio з пошукового запиту через Google. Система зафіксувала операційну систему Mac OS X, а країна походження — Північна Корея. Цей одиничний візит сам по собі не розкриває особу користувача, але вказує на точку виходу в мережу.
Контекст, однак, надає цій події особливої значущості. У КНДР доступ до глобального інтернету є привілеєм, доступним лише вузькому колу осіб, пов'язаних із державними, військовими або дипломатичними структурами. Ймовірність того, що за цим візитом стоїть пересічний громадянин, прямує до нуля. З високою часткою впевненості можна стверджувати, що ми спостерігаємо активність державного агента.
MVRV Ratio та стратегічний інтерес Пхеньяна
Інтерес до метрики MVRV Ratio (Market Value to Realized Value) з боку північнокорейського користувача не випадковий. Цей індикатор порівнює ринкову капіталізацію активу з реалізованою та використовується для оцінки переоціненості або недооціненості біткоїна. Навіщо хакерам із КНДР знадобився цей інструмент — питання відкрите. Однак, враховуючи масштаб їхніх операцій, це може бути пов'язано з плануванням ліквідації накопичених резервів або з оцінкою ринкових умов для нових атак.
Глобальний контекст: КНДР та криптовалюти
Північна Корея регулярно фігурує у звітах блокчейн-аналітиків. Найвідоміша група, яку пов'язують із Пхеньяном — Lazarus Group. Саме їй приписують найбільші крадіжки в історії криптоіндустрії: виведення понад $600 млн із мережі Ronin (Axie Infinity) у 2022 році та злом біржі Coincheck на $534 млн у 2018-му. Цифрові активи стали критично важливим економічним ресурсом для країни, що перебуває під жорсткими санкціями.
Експертна думка Cryptalist: Цей інцидент — наочна демонстрація того, як аналітичні інструменти, призначені для легальних трейдерів, можуть бути використані в розвідувальних цілях. Стеження за активністю з IP КНДР на профільних платформах — один із небагатьох способів отримати оперативну інформацію про дії цих груп. Сам по собі одиничний візит не є доказом атаки, але він підтверджує, що Пхеньян продовжує моніторинг ринку з використанням тих самих інструментів, що й професійні учасники. Це підвищує ставки у грі з відстеження їхньої активності.